Come dimostrare di aver onorato il diritto all’oblio

La risposta è un po’ astratta, ma sostanzialmente le protezioni offerte dal GDPR riguardano i “dati personali”, che sono definiti dal regolamento come dati che consentono di identificare direttamente o indirettamente una persona fisica.

Quindi, nel caso in cui un utente abbia esercitato il Diritto all’oblio (in relazione a tutti i suoi dati), i suoi dati personali non sarebbero più presenti sui tuoi sistemi e pertanto non ti sarebbe più possibile identificarlo.

L’articolo 12 del GDPR dice:

Il titolare del trattamento agevola l’esercizio dei diritti dell’interessato ai sensi degli articoli 15 a 22. Nei casi di cui all’articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell’interessato al fine di esercitare i suoi diritti ai sensi degli articoli 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l’interessato.

Ciò significa che i responsabili del trattamento dei dati sono esenti dall’adempimento dei “Diritti degli utenti” quando l’interessato non può essere identificato, come nel caso in cui tutti i dati personali dell’utente siano rimossi dai sistemi nell’adempimento della richiesta iniziale.

In questa situazione non ci sarebbe alcuna possibilità o necessità di “fornire la prova” di qualcosa che non esiste più in relazione a una persona identificabile.

In termini pratici, il modo migliore di procedere è quello di informare chiaramente l’utente che nel soddisfare la sua richiesta tutti i suoi dati saranno rimossi e che gli sarà impossibile esercitare ulteriori diritti su di essi, non essendo più presenti sui vostri sistemi.

Un altro modo spesso richiesto e pratico per mantenere la prova della conformità generale è di tenere registri delle attività di trattamento e dell’acquisizione del consenso (ove applicabile). Così facendo puoi dimostrare all’Autorità o a chiunque altro di disporre di sistemi per facilitare l’adempimento dei Diritti dell’Utente, anche se i dati in questione non sono più disponibili.

Come può aiutarti iubenda

Registro delle attività di trattamento dei dati

Adeguarsi al GDPR può rivelarsi una sfida da attuare in termini pratici, soprattutto per la gestione della privacy interna. Per essere conforme, devi essere in grado di rintracciare e descrivere:

• quali dati raccogli;
• per quali scopi sono stati raccolti;
• la base giuridica del trattamento;
• la politica di conservazione dei dati per ogni attività di trattamento;
• le parti coinvolte (sia all’interno che all’esterno dell’organizzazione);
• le misure di sicurezza;
• il trasferimento dei dati al di fuori dell’UE, qualora avvenga;
• altri dettagli correlati che possono essere applicati a tutta l’azienda, inclusi i dati dei dipendenti.

La nostra soluzione consente di registrare e gestire facilmente tutte le attività di trattamento dei dati all’interno della propria organizzazione, così da poter soddisfare facilmente i requisiti e soddisfare i propri obblighi legali.

Più precisamente ti consente di:

• creare un registro del trattamento;
• definire le attività di trattamento effettuate scegliendo da oltre 1700 opzioni pre-configurate;
• dividerle per area (sottodivisioni all’interno delle quali le attività di trattamento dati sono le stesse);
• individuare responsabili ed altri soggetti;
• documentare le basi giuridiche e le altre informazioni richieste dal GDPR.

Nota: come menzionato in questa guida, in genere si richiedono registri del trattamento completi ed esaurienti alle organizzazioni che gestiscono “categorie speciali di dati” o che hanno più di 250 dipendenti. Tuttavia ci sono alcuni requisiti per la conservazione della documentazione che sono obbligatori per tutti, come ad esempio quali dati vengono raccolti, lo scopo, tutte le parti coinvolte nel trattamento e il periodo di conservazione dei dati.

Inoltre, anche se il GDPR è una buona ragione per impegnarsi maggiormente nella gestione della privacy interna, il nostro strumento non è fatto esclusivamente per l’applicazione sotto GDPR: può infatti essere utilizzato per la gestione generale della privacy interna anche da aziende che non hanno utenti o clienti all’interno dell’UE.

Leggi la guida al Registro delle attività di trattamento dei dati o scopri tutte le funzionalità per saperne di più.

Gestire il consenso e mantenere i record dettagliati relativi ad esso

Al fine di rispettare le leggi sulla privacy, in particolare il GDPR, le aziende devono archiviare la prova del consenso così da poter dimostrare che il consenso è stato raccolto. Questi record devono mostrare:

• quando è stato fornito il consenso;
• chi lo ha fornito;
• quali erano le loro preferenze al momento della raccolta del consenso;
• quale avviso legale o sulla privacy sono stati presentati al momento della raccolta;
• quali moduli di raccolta del consenso sono stati presentati al momento della raccolta.

La nostra Consent Solution semplifica questo processo aiutandoti a conservare facilmente la prova del consenso e a gestire le preferenze di consenso e privacy per ciascuno dei tuoi utenti. Ti consente di tracciare ogni aspetto del consenso (compreso l’avviso legale o sulla privacy e il modulo di consenso presentato all’utente al momento della raccolta) e le relative preferenze espresse dall’utente.

Per utilizzarla basta attivare la Consent Solution, ottenere la chiave API, installarla tramite API HTTP o widget JS e il gioco è fatto. Sarai in grado di recuperare i consensi in qualsiasi momento e tenerli aggiornati.

Leggi la guida alla Consent Solution o scopri tutte le funzionalità per saperne di più.